Sto cercando di capire SSL / TLS. Quello che segue è una descrizione di uno scenario e alcuni presupposti che spero tu possa confermare o smentire.
Domanda
Come può il mio datore di lavoro essere un uomo -in-the-middle quando mi collego a Gmail? Può davvero?
Ovvero: è possibile per il datore di lavoro decriptare la connessione tra il browser sul mio computer di lavoro e il server proxy web del datore di lavoro, leggere i dati in testo normale, ad esempio per le scansioni antivirus , crittografare nuovamente i dati e inviarli a Google senza che me ne accorga?
Browser sul computer del dipendente < -> server proxy web del datore di lavoro < -> server Gmail
Il il datore di lavoro può installare qualsiasi certificato autofirmato sui computer aziendali. Dopotutto è la sua infrastruttura.
Scenario: cosa sto facendo
- Con un browser, apri http: // www. gmail.com (avviso http, non https)
- Vengo reindirizzato alla pagina di accesso di Google: https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm = false&continue = https: //mail.google.com/mail/&ss=1&scc=1<mpl=default<mplcache=2&emr=1
- nome utente e password Vengo reindirizzato a Gmail: https://mail.google.com/mail/u/0/?pli=1#inbox
- faccio clic sull'icona del lucchetto SSL nel browser ...
... e vedere quanto segue:
- Rilasciato a: mail.google.com
- Rilasciato da: "nome azienda datore di lavoro"
- Valido da: 01.01.2014 - 31.12.2014
- Percorso di certificazione: "nome azienda datore di lavoro" -> "nome server proxy web datore di lavoro" -> mail.google.com
Assunzione
Ora sto assumendo che l'icona del lucchetto SSL nel browser diventa verde, ma in realtà non ho una connessione sicura dal browser al server Gmail.
È corretto?
Fonti
Ho letto queste fonti ma ancora non le capisco:
- Esiste un metodo per rilevare un man-in-the-middle attivo?
- Prevenire uno spoofing man in the middle attack?
- Come funziona SSL / TLS?
- È possibile che qualcuno sia un uomo di mezzo se quel qualcuno controlla l'infrastruttura IT? In caso affermativo, come esattamente?
- Il mio nome utente e la mia password vengono letti in testo normale sul server proxy web del datore di lavoro?
- Cosa devo controllare nel browser per verificare di disporre di un connessione dal browser fino al server Gmail?
EDIT, 18.07.2014
- La privacy non è un problema . Sono solo curioso di sapere come funziona TLS in questo particolare scenario. Gli altri mezzi a disposizione del datore di lavoro per intercettare la comunicazione (keylogger ecc.) Non sono rilevanti in questo caso particolare.
- Le questioni legali non sono un problema. I dipendenti possono utilizzare le apparecchiature IT aziendali per comunicazioni private entro determinati limiti. D'altra parte, il datore di lavoro si riserva il diritto di effettuare il monitoraggio senza violare la privacy.